Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN AD SingleSignOn Problem

Hallo liebes Forum

wir beobachten gerade mal wieder ein Problem, wo wir uns fragen, ob wir wirklich die ersten sind die dieses Phänomen beobachten...

Wir haben:
- eine ASG220
- SSL-VPN Nutzer
- AD Authentication aktiviert mit autom. Nutzererstellung

Loggt sich ein Nutzer das erste Mal ein, so wird dieser automatisch von der Astaro angelegt.
Als Username ist es aber nicht der Windows-Account-Name (vorname.nachname ohne Umlaute), sondern der CN bzw. displayName (Vorname Nachname mit Gross-Klein-Schreibung und Leerstelle!).
Die User können dann der notwendigen Gruppe zugeordnet werden (muss manuell geschehen, da die Backend Groups bei der VPN-Authentifzierung nicht funktionieren).

Loggt sich der Nutzer dann im EndUser-Portal ein sieht er zwar die SSL-VPN-Pakete, bekommt aber eine JavaScript-Fehlermeldung beim Klick auf "Download".

Die Ursache ist dieser Nutzername.
Ändert man diesen beim Nutzer auf den Loginnamen (vorname.nachname) während der Nutzer eingeloggt ist, kann er nach einem kleinen Reload die Pakete runterladen.
Nach dem nächsten Logout / Login ist der Username aber wieder auf den displayName "synchronisiert", auch bei deaktiviertem Backend Sync.

Daher habe ich folgende Fragen:
* hat dieses Problem noch nie jemand gehabt?
* warum fällt sowas nicht beim Testing bei Astaro auf, das sollte bei jedem QS-Lauf eigentlich irgendwie auffallen, oder?
* hat das Problem jemand lösen können, denn unser Erfahrungen mit dem Astaro-Support bzgl. Antworten oder grundsätzlich Bearbeitung durch den Support sind äusserst mies.

Viele Grüße,

Matthias


This thread was automatically locked due to age.
Parents
  • Hallo Matthias,

    Backend Groups werden in diesem Zusammenhang (noch) nicht unterstützt.
    Es gab hierzu auch schon einige Threads im eng. Teil des Forums.

    Gregor Kemter
  • Hallo,
    das war auch garnicht das Thema...aber macht nichts.
    Ich habe ja geschrieben das Backend Groups bei VPN noch nicht gehen, das ist mir bekannt.
    Deswegen schrieb ich ja:
    ---
    "Die User können dann der notwendigen Gruppe zugeordnet werden (muss manuell geschehen, da die Backend Groups bei der VPN-Authentifzierung nicht funktionieren)."
    ---

    Das Problem ist eigentlich das andere:
    ---
    Loggt sich der Nutzer dann im EndUser-Portal ein sieht er zwar die SSL-VPN-Pakete, bekommt aber eine JavaScript-Fehlermeldung beim Klick auf "Download".

    Die Ursache ist dieser Nutzername.
    Ändert man diesen beim Nutzer auf den Loginnamen (vorname.nachname) während der Nutzer eingeloggt ist, kann er nach einem kleinen Reload die Pakete runterladen.
    Nach dem nächsten Logout / Login ist der Username aber wieder auf den displayName "synchronisiert", auch bei deaktiviertem Backend Sync.
    ---
  • Hallo Matthias,

    wir haben das gleiche Problem auch bei einem Kunden von uns, bisher gab es aber keine Lösung von seiten Astaro. 

    Zum Thema Support kann ich deine Erfahrungen leider nur bestätigen, ungefähr seit dem Astaro v7 Release ist der Support echt eine Katastrophe. Bei uns wird intern genau deswegen schon erwogen Astaro Produkte generell aus dem Portfolio zu nehmen.

    viele grüsse

    der janosch
  • Hi

    kann es sein, dass dies in der 7.200 behoben ist?
    Ich bekomme die Autom. User immer mit Windows login name angelegt.
  • Das sollte schon seit 7.104 gefixed sein ...
    Zumindestens habe ich heute morgen noch mit 7.104 gearbeitet und da klappte alles.

    Grüße

    Schroeder
  • Hi,
    es ist leider erst mit der 7.200 gefixt worden...da stands auch in der offiziellen Liste.
    Matthias
  • Hallo zusammen,

    ist es richtig, dass Backend User Group Auth in V3 für VPN funktionieren soll?
    heißt das, dass ich...
    1.) die ASG ins AD integriere, OHNE "user automatisch anlegen"
    2.) im AD eine usergruppe "vpnaccess" anlege
    3.) ich auf der ASG eine backend auth gruppe anlege, die auf ebenjene AD Gruppe "zeigt"
    4.) diese Gruppe dann in SSL VPN allowed users eintrage
    ... und fertig?!
    Das hieße ja (endlich), dass auf der ASG kein User-Wildwuchs mehr herrscht, sondern die User sich im AD befinden und ausschließlich aufgrund der AD-Gruppenmitgliedschaften (ohne angelegt zu werden oder einzeln in die Allowed Users zu müssen) verwaltet werden können.
    Bitte um bestätigung dieser Hoffnung =) 
    DANKE!!!
Reply
  • Hallo zusammen,

    ist es richtig, dass Backend User Group Auth in V3 für VPN funktionieren soll?
    heißt das, dass ich...
    1.) die ASG ins AD integriere, OHNE "user automatisch anlegen"
    2.) im AD eine usergruppe "vpnaccess" anlege
    3.) ich auf der ASG eine backend auth gruppe anlege, die auf ebenjene AD Gruppe "zeigt"
    4.) diese Gruppe dann in SSL VPN allowed users eintrage
    ... und fertig?!
    Das hieße ja (endlich), dass auf der ASG kein User-Wildwuchs mehr herrscht, sondern die User sich im AD befinden und ausschließlich aufgrund der AD-Gruppenmitgliedschaften (ohne angelegt zu werden oder einzeln in die Allowed Users zu müssen) verwaltet werden können.
    Bitte um bestätigung dieser Hoffnung =) 
    DANKE!!!
Children

  • 1.) die ASG ins AD integriere, OHNE "user automatisch anlegen"
    2.) im AD eine usergruppe "vpnaccess" anlege
    3.) ich auf der ASG eine backend auth gruppe anlege, die auf ebenjene AD Gruppe "zeigt"
    4.) diese Gruppe dann in SSL VPN allowed users eintrage
    ... und fertig?!


    Bis auf Punkt 1.) ist das richtig. 

    Fuer VPN Verbindungen muss allerdings weiterhin ein Benutzerobjekt auf der ASG existieren. Das Benutzerobjekt enthaelt ein Zertifikat und sonstige Konfiguration, die den Aufbau des SSL Tunnels ermoeglicht.
  • Hallo Robert,

    gerade heute morgen kam mir genau dieser Gedanke: Ein Zertifikat benötigen die User ja trotzdem, also müssen sie auch angelegt werden. Punkt 1.) heißt also "...MIT "User automatisch anlegen""
    Um angelegt zu werden müssen die Benutzer sich mindestens einmal am Usre Portal angemeldet haben, richtig?
    Das wäre natürlich ein wenig schade für die Installation, denn die admins wollten eigentlich alle User anlegen, sich als UserX anmelden und dann die SSL-VPN-Files in fertigen Paketen / Skripten an die User verteilen. Dazu würden sie in diesem Fall ja das AD-Passwort benötigen.
    Hintergrund: auf vielen Notebooks läuft aus der bisherigen Installation noch OpenSSL, welches man ja glücklicherweise verwenden kann, indem man einfach die SSL-Config-Files in den passenden Ordner auf dem Notebook schiebt. Allerdings wird das Eigenständige Herunterladen, entpacken und verschieben den Benutzern nicht zugetraut, also soll es von den Admins übernommen werden...
    Der einzige Weg dies zu erreichen wäre, wenn die Admins - zumindest temporär - die AD-Passwörter der User kennen würden. Alternative: User erledigen das selbst...(ohje) [8-)]

    Viele Grüße
    Marcus

  • gerade heute morgen kam mir genau dieser Gedanke: Ein Zertifikat benötigen die User ja trotzdem, also müssen sie auch angelegt werden. Punkt 1.) heißt also "...MIT "User automatisch anlegen""

    Genau. Das tut.


    Um angelegt zu werden müssen die Benutzer sich mindestens einmal am Usre Portal angemeldet haben, richtig?
    Das wäre natürlich ein wenig schade für die Installation, denn die admins wollten eigentlich alle User anlegen, [...]

    In der Version 7.300 gibt es ein neues Feature das 'user prefetch' heisst. Dort kann man z.B. eine Active Directory Gruppe angeben und es werden alle Benutzer dieser Gruppe auf der ASG angelegt (ung ggf. regelmaessig aktualisiert)

    Das mit dem Runterladen von Paketen fuer andere Benutzer (z.B. im WebAdmin) merke ich mir mal als eventuelles Feature.

    Gruss robert
  • Hallo Robert,

    Danke für die schnelle Antwort. Das Feature "Pakete herunterladen für User X" wäre wirklich interessant, ich habe alleine im letzten halben Jahr drei mittelgroße Installationen, bei denen die Admins sich darüber wirklich gefreut hätten...
    Viele Grüße
    Marcus